Tato příručka popisuje, jak řešení zabezpečení společnosti Microsoft můžou pomoct zabezpečit a chránit přístup a prostředí účtu Amazon Web Services (AWS).
Tento diagram shrnuje, jak mohou instalace AWS těžit z klíčových komponent zabezpečení Microsoftu:
Stáhněte si powerpointový soubor tohoto diagramu.
Microsoft Entra
Centralizovaná správa identit a přístupu
Microsoft Entra ID je komplexní cloudové centralizované řešení pro správu identit a přístupu, které pomáhá zabezpečit a chránit účty a prostředí AWS.
Microsoft Entra ID poskytuje silné ověřování jednotným přihlašováním k téměř jakékoli aplikaci nebo platformě, které se řídí běžnými standardy ověřování webu, včetně AWS. Účty AWS, které podporují důležité úlohy a vysoce citlivé informace, potřebují silnou ochranu identit a řízení přístupu. Správa identit AWS se vylepšuje, když ji zkombinujete s ID Microsoft Entra.
Organizace AWS, které používají Microsoft Entra ID pro Microsoft 365 nebo hybridní cloudovou identitu a ochranu přístupu, můžou rychle a snadno nasadit microsoft Entra ID pro účty AWS, často bez dalších nákladů. Microsoft Entra ID poskytuje několik možností pro přímou integraci s AWS:
Integrace se službou AWS IAM Identity Center pro lepší zabezpečení, vylepšené uživatelské prostředí, centralizované řízení přístupu a jednotné přihlašování napříč staršími, tradičními a moderními řešeními ověřování
Vícefaktorové ověřování Microsoft Entra, včetně integrace s několika řešeními třetích stran od partnerů Microsoft Intelligent Security Association .
Výkonné funkce podmíněného přístupu pro silné ověřování a striktní zásady správného řízení Microsoft Entra ID používá zásady podmíněného přístupu a posouzení na základě rizik k ověřování a autorizaci přístupu uživatelů ke konzole pro správu AWS a prostředkůM AWS.
Vylepšená ochrana proti útokům založeným na identitě prostřednictvím detekce v reálném čase a nápravy rizikových přihlášení a neobvyklého chování uživatelů.
Privileged Identity Management (PIM) umožňuje zřizování konkrétních prostředků za běhu. PIM můžete rozšířit na jakékoli delegované oprávnění tím, že řídíte přístup k vlastním skupinám, jako jsou skupiny, které vytvoříte pro přístup k rolím AWS.
Další informace a podrobné pokyny naleznete v tématu Microsoft Entra identity a správa přístupu pro AWS.
Správa oprávnění Microsoft Entra
Správa oprávnění je řešení pro správu nároků na cloudovou infrastrukturu, které poskytuje komplexní přehled o oprávněních k identitám, akcím a prostředkům napříč vícecloudovou infrastrukturou v Azure, AWS a Google Cloud Platform. Správu oprávnění můžete použít k:
Zjistěte počet nepoužívaných nebo nadměrných oprávnění ve všech účtech AWS k identifikaci rizik prostřednictvím multidimenzionálního zobrazení identit, oprávnění a prostředků.
Náprava a oprávnění správné velikosti prostřednictvím vynucení principu nejnižšího oprávnění napříč všemi účty AWS.
Monitorování a upozorňování neobvyklých aktivit, které pomáhají zabránit únikům dat způsobeným zneužitím a škodlivým zneužitím oprávnění.
Další informace a podrobné pokyny k onboardingu najdete v tématu Onboarding účtu Amazon Web Services (AWS).
Microsoft Defender for Cloud Apps
Když několik uživatelů nebo rolí provádí změny správy, může dojít k posunu konfigurace od zamýšlené architektury zabezpečení a standardů. Standardy zabezpečení se také můžou v průběhu času měnit. Pracovníci zabezpečení musí neustále a konzistentně zjišťovat nová rizika, vyhodnocovat možnosti omezení rizik a aktualizovat architekturu zabezpečení, aby se zabránilo potenciálním porušením zabezpečení. Správa zabezpečení napříč několika prostředími veřejného cloudu a privátní infrastruktury může být zatěžující.
Defender for Cloud Apps poskytuje rozšířenou ochranu pro aplikace typu software jako služba (SaaS). Poskytuje následující funkce, které vám pomůžou monitorovat a chránit data cloudových aplikací:
Základní funkce zprostředkovatele zabezpečení přístupu ke cloudu, včetně stínového zjišťování IT, přehledu o využití cloudových aplikací, rozšířené ochrany před hrozbami založenými na aplikacích odkudkoli v cloudu a posouzení ochrany informací a dodržování předpisů.
Funkce správy stavu zabezpečení SaaS, které týmům zabezpečení umožňují zlepšit stav zabezpečení organizace.
Rozšířená ochrana před hrozbami, která je součástí rozšířeného řešení detekce a reakce Microsoftu, což umožňuje účinnou korelaci signálů a viditelnosti v celém řetězci kybernetických útoků.
Ochrana mezi aplikacemi, která rozšiřuje základní scénáře hrozeb na aplikace s podporou OAuth, které mají oprávnění a oprávnění k důležitým datům a prostředkům.
Připojení AWS k Defenderu for Cloud Apps pomáhá zabezpečit vaše prostředky a detekovat potenciální hrozby monitorováním aktivit správy a přihlašování. Získáte oznámení o možných útocích hrubou silou, škodlivém používání privilegovaných uživatelských účtů, neobvyklých odstranění virtuálních počítačů a veřejně vystavených kontejnerů úložiště. Defender for Cloud Apps pomáhá chránit prostředí AWS před zneužitím cloudových prostředků, ohroženými účty a vnitřními hrozbami, únikem dat a chybnou konfigurací prostředků a nedostatečným řízením přístupu. Následující funkce Defenderu pro Cloud Apps jsou užitečné zejména při práci s prostředími AWS.
Detekce cloudových hrozeb, ohrožených účtů, škodlivých insiderů a ransomwaru Zásady detekce anomálií Defenderu for Cloud Apps se aktivují, když uživatelé v AWS provádějí neobvyklé aktivity. Defender for Cloud Apps průběžně monitoruje aktivity uživatelů a používá UEBA a strojové učení k učení a pochopení typického chování uživatelů a aktivaci upozornění na případné odchylky.
Omezte vystavení sdílených dat a vynucujte zásady spolupráce. Automatizace ovládacích prvků zásad správného řízení prostřednictvím akcí, jako je upozorňování uživatelů na výstrahy, vyžadování opětovného ověřování nebo pozastavení uživatelů, nastavení kontejneru S3 jako soukromé nebo odebrání spolupracovníků z kontejneru S3.
Aktivity auditu. Připojte auditování AWS k aplikacím Defender for Cloud, abyste získali přehled o aktivitách uživatelů, správců a přihlašování.
Získejte vylepšenou ochranu v reálném čase pro AWS. Pomocí programu Defender for Cloud Apps můžete řídit podmíněný přístup k blokování a ochraně stahování citlivých dat AWS rizikovými uživateli.
Další informace o tom, jak připojit prostředí AWS k Defenderu for Cloud Apps, najdete v tématu Ochrana prostředí Amazon Web Services.
Microsoft Defender for Cloud
Defender for Cloud je platforma ochrany aplikací nativní pro cloud, která se skládá z bezpečnostních opatření a postupů navržených k ochraně cloudových aplikací před různými kybernetickými hrozbami a ohroženími zabezpečení. Defender for Cloud nabízí následující možnosti:
Vývojové řešení operací zabezpečení, které sjednocuje správu zabezpečení na úrovni kódu v prostředích s více cloudy a několika kanály
Řešení správy stavu zabezpečení cloudu (CSPM), které nabízí akce, které můžete provést, aby se zabránilo porušení zabezpečení
Platforma CWPP (Cloud Workload Protection Platform), která poskytuje ochranu pro servery, kontejnery, úložiště, databáze a další úlohy
Podpora AWS nativního pro Defender for Cloud poskytuje několik výhod:
Základní csPM pro prostředky AWS
CsPM Defenderu pro prostředky AWS
Podpora CWPP pro clustery Amazon EKS
Podpora CWPP pro instance AWS EC2
Podpora CWPP pro SQL servery běžící na AWS EC2 a RDS Custom pro SQL Server
Základní CPSM i Defender CSPM jsou zcela bez agentů. Základní csPM poskytuje doporučení, jak nejlépe posílit prostředky AWS a napravit chybné konfigurace. Defender for Cloud nabízí základní multicloudové funkce CSPM zdarma.
CsPM v programu Defender poskytuje pokročilé možnosti správy stavu, jako je analýza cest útoku, Průzkumník zabezpečení cloudu, rozšířené proaktivní vyhledávání hrozeb a možnosti zásad správného řízení zabezpečení. Poskytuje také nástroje pro posouzení dodržování předpisů zabezpečení s širokou škálou srovnávacích testů, regulačních standardů a všech vlastních zásad zabezpečení požadovaných ve vaší organizaci, odvětví nebo oblasti.
Podpora CWPP pro instance AWS EC2 poskytuje funkce, jako je automatické zřizování požadavků na stávajících a nových počítačích, posouzení ohrožení zabezpečení, integrovaná licence pro Microsoft Defender for Endpoint, monitorování integrity souborů a další.
Podpora CWPP pro clustery Amazon EKS poskytuje funkce, jako je zjišťování nechráněných clusterů, pokročilá detekce hrozeb pro řídicí rovinu a úroveň úloh, doporučení roviny dat Kubernetes (prostřednictvím rozšíření Azure Policy) a další.
Podpora CWPP pro SQL servery běžící na AWS EC2 a AWS RDS Custom pro SQL Server poskytuje funkce, jako je rozšířená ochrana před hrozbami, kontrola posouzení ohrožení zabezpečení a další.
Standardy zabezpečení poskytují podporu pro posuzování prostředků a úloh v AWS proti standardům dodržování právních předpisů, jako jsou standardy Center for Internet Security (CIS) a PCI (Payment Card Industry) a standard osvědčených postupů zabezpečení AWS Foundational Security.
Další informace o ochraně úloh v AWS najdete v tématu Připojení účtu AWS a přiřazení standardů dodržování právních předpisů v Programu Microsoft Defender for Cloud.
Microsoft Sentinel
Microsoft Sentinel je škálovatelný systém siEM (Security Information and Event Management) nativní pro cloud, který poskytuje inteligentní a komplexní řešení pro orchestraci, automatizaci a reakci na zabezpečení SIEM a zabezpečení. Microsoft Sentinel poskytuje detekci kyberthreat, vyšetřování, reakci a proaktivní proaktivní proaktivní vyhledávání. Nabízí pohled na ptáka v celém podniku.
Konektory AWS můžete použít k načtení protokolů služby AWS do Služby Microsoft Sentinel. Tyto konektory fungují tak, že microsoft Sentinel udělí přístup k protokolům prostředků AWS. Nastavení konektoru vytvoří vztah důvěryhodnosti mezi AWS a Microsoft Sentinelem. Tuto relaci vytvoříte v AWS vytvořením role, která dává Službě Microsoft Sentinel oprávnění pro přístup k protokolům AWS.
Konektor může ingestovat protokoly z následujících služeb AWS tak, že je stáhne z kbelíku S3:
| Služba | Zdroj dat |
|---|---|
| Amazon Virtual Private Cloud (VPC) | Protokoly toku VPC |
| Amazon GuardDuty | Zjištění guardDuty |
| AWS CloudTrail | Události správy a dat |
| AWS CloudWatch | Protokoly CloudWatch |
Další informace o instalaci a konfiguraci konektoru AWS v Microsoft Sentinelu najdete v tématu Připojení Microsoft Sentinelu k Amazon Web Services k ingestování dat protokolu služby AWS.
Doporučení
K ochraně účtů AWS použijte řešení zabezpečení Microsoftu a základní doporučení zabezpečení AWS.
Základní zabezpečení účtu AWS
Informace o základní hygieně zabezpečení pro účty a prostředky AWS najdete v pokynech zabezpečení AWS v části Osvědčené postupy pro zabezpečení účtů a prostředků AWS.
Snižte riziko nahrávání a stahování malwaru a dalšího škodlivého obsahu tím, že aktivně kontrolujete všechny přenosy dat prostřednictvím konzoly pro správu AWS. Obsah, který nahrajete nebo stáhnete přímo do prostředků v rámci platformy AWS, jako jsou webové servery nebo databáze, může vyžadovat další ochranu.
Zajištění zabezpečení přístupových klíčů tím, že klíče pravidelně obměněte. Vyhněte se vkládání do kódu. Role IAM používejte místo dlouhodobých přístupových klíčů, kdykoli je to možné.
Skupiny zabezpečení a seznamy ACL sítě slouží k řízení příchozího a odchozího provozu do vašich prostředků. Implementujte VPC pro izolaci prostředků.
Šifrování neaktivních uložených a přenášených citlivých dat pomocí Služba správy klíčů AWS
Chraňte zařízení, která správci a vývojáři používají pro přístup ke konzole pro správu AWS.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byl napsán následujícím přispěvatelem.
Hlavní autor:
- Lavanya Murthy | Hlavní architekt cloudového řešení
Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.
Další kroky
- Monitorování a ochrana aktivit správy a přihlašování AWS
- Ochrana úloh v AWS
- Připojení služby Microsoft Sentinel k Amazon Web Services za účelem ingestování dat protokolů služeb AWS